Sempre più attacchi alle infrastrutture critiche

22. Febbraio 2022
| Non ci sono commenti
Sempre più attacchi alle infrastrutture critiche

Condividi post

La serie di attacchi informatici alle infrastrutture critiche - KRITIS - non sembra arrestarsi. All'inizio di febbraio, un attacco hack ha catturato la società svizzera Swissport e ha interrotto le operazioni di volo in Svizzera, seguito dall'attacco ransomware al parco serbatoi Oiltanking in Germania, dagli attacchi a SEA-Invest in Belgio e Evos nei Paesi Bassi. Alcuni commenti degli esperti.  

“Gli aggressori informatici spesso prendono di mira i loro attacchi dove possono causare la maggior interruzione dell'attività. In questo modo, la vittima potrebbe essere più disposta a pagare un riscatto per riportare i propri sistemi online. Per questo motivo, infrastrutture critiche, ospedali, nodi di trasporto e reti elettriche cittadine sono spesso presenti nelle notizie sugli attacchi ransomware. Gli aggressori troveranno sempre modi per creare situazioni di pressione che li avvantaggiano.

Gli aggressori trovano sempre nuovi modi

Hendrik Schless, Senior Manager delle soluzioni di sicurezza, Lookout (Immagine: Lookout).

Il ransomware non è una nuova minaccia, ma le tattiche utilizzate dagli aggressori per penetrare nell'infrastruttura aziendale e bloccare o rubare le risorse si stanno evolvendo rapidamente. Anni fa, gli aggressori usavano tattiche di forza bruta per trovare una piccola vulnerabilità in un'azienda e quindi sfruttarla per impossessarsi dell'infrastruttura. Oggi, ci sono modi molto più furtivi per i criminali informatici di entrare nell'infrastruttura. Il più delle volte, escogitano come compromettere l'account di un dipendente per accedere con credenziali legittime che non destano sospetti.

Le credenziali vengono spesso rubate tramite attacchi di phishing sui dispositivi mobili. Su smartphone e tablet, gli aggressori hanno innumerevoli opportunità di impegnarsi nell'ingegneria sociale tramite SMS, piattaforme di chat di terze parti e app di social media. Oltre a proteggere l'endpoint, le organizzazioni devono anche essere in grado di proteggere dinamicamente l'accesso e le azioni all'interno delle applicazioni cloud e private. È qui che entrano in gioco le soluzioni Zero Trust Network Access (ZTNA) e Cloud Access Security Broker (CASB). Comprendendo le interazioni tra utenti, dispositivi, reti e dati, le organizzazioni possono individuare indicatori chiave di compromissione che puntano al ransomware o all'esfiltrazione massiccia di dati. Mettere in sicurezza i dispositivi mobili dei dipendenti, nonché le applicazioni cloud e personali insieme aiuta le aziende a creare una solida posizione di sicurezza basata su una filosofia Zero Trust".

Hendrik Schless, Senior Manager of Security Solutions presso il fornitore di sicurezza Attenzione

 

Il ransomware del modello di business rimane redditizio

Vectra AI, Fabian Gentinetta (Immagine: Vectra AI).

“Il ransomware è il modello di business dominante tra i gruppi che conducono attacchi informatici a scopo di lucro. Quello che stiamo vedendo con la recente ondata di attacchi è che l'applicazione limitata della legge non risolverà il problema e certamente non lo farà dall'oggi al domani. Ma Swissport sembra aver contenuto l'attacco con un danno minimo alla sua capacità operativa, il che dimostra che il ransomware non è una mossa tutto o niente: "l'attacco ransomware riuscito ma limitato" è un termine che conosciamo spero che vedremo di più.

Rilevare e rimuovere gli aggressori dalla rete sta diventando un'attività operativa quotidiana in molte organizzazioni. Sebbene l'attacco non sia stato fermato prima della crittografia, Swissport sembra averlo contenuto rapidamente e limitato con successo il danno. La cosa più importante, soprattutto per le infrastrutture critiche, sono i processi di backup rapidi e funzionanti, come ha dimostrato in modo impressionante Swissport”.

Fabian Gentinetta dell'esperto di sicurezza informatica Vectra AI

 

Il danno causato dal ransomware può essere immenso

“Abbiamo visto i danni che gli attacchi ransomware possono causare quando le aziende sono in crisi, il che a sua volta ha un impatto sulla catena di approvvigionamento e sulla vita dei cittadini. I recenti attacchi a Oiltanking in Germania, SEA-Invest in Belgio ed Evos nei Paesi Bassi e Swissport sono preoccupanti, ma è prematuro parlare di attacchi coordinati da parte degli stati nazionali. Lo scenario più probabile è che gli aggressori lavorino con un database che contiene obiettivi simili e colpiscano nel segno con i loro sforzi.

Sebbene possano essere necessari mesi per svelare i dettagli di un attacco, i rapporti iniziali suggeriscono che BlackCat, ritenuto un nuovo marchio BlackMatter, potrebbe essere responsabile degli attacchi all'industria dei carburanti in tutta Europa. In un altro caso questa settimana, anche KP Foods è stata vittima di ransomware, con Conti accusato delle interruzioni. Quello che sappiamo di questi due gruppi di hacker è che gestiscono un modello di business ransomware-as-a-service (RaaS). Ciò significa che si tratta di criminalità organizzata con database delle vittime e numerosi partner. Questi non si legano a uno specifico gruppo di ransomware, ma spesso lavorano con più gruppi e utilizzano potenti bot per automatizzare la diffusione del malware.

Bernard Montel, direttore tecnico EMEA e stratega della sicurezza presso Tenable (Immagine: Tenable).

I robot amplificano l'effetto

Dal punto di vista della vittima, in realtà è irrilevante chi sia il responsabile, tanto più che probabilmente lo si saprà solo tra qualche mese. La questione importante, tuttavia, è come sono avvenuti gli attacchi. Nella maggior parte dei casi, come nel caso di BlackMatter e Conti, si tratta di una vulnerabilità nota che consente al malware di penetrare nell'infrastruttura e crittografare i sistemi. BlackMatter è noto per prendere di mira software desktop remoto e sfruttare credenziali precedentemente compromesse, mentre Conti è noto per sfruttare vulnerabilità come Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) ed EternalBlue (CVE -2017-0143, CVE-2017-0148). Un'altra via di attacco sta sfruttando le configurazioni errate in Active Directory e sia Conti che BlackMatter sono noti per utilizzare questa tattica.

Le organizzazioni devono essere consapevoli del fatto che i principi di sicurezza di base possono in gran parte bloccare il percorso dell'attacco ransomware. I team di sicurezza devono implementare soluzioni che forniscano visibilità, sicurezza e controllo appropriati sul cloud e sull'infrastruttura convergente. Chiedo al business: identifica i sistemi critici da cui dipende per funzionare. Identifica eventuali vulnerabilità che interessano questi sistemi, quindi agisci per correggere o correggere il rischio. Inoltre, prenditi cura dei privilegi eccessivi in ​​Active Directory che consentono agli aggressori di elevare i propri privilegi e infiltrarsi ulteriormente nell'infrastruttura! Se queste misure di base non vengono prese, l'azienda è vulnerabile e rischia di interrompere chiunque attacchi.

Bernard Montel, direttore tecnico EMEA e stratega della sicurezza Sostenibile

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , , , ,